本文探讨了移动应用中用户密码的安全存储方案,包括iOS上的Keychain及Android上的AES加密方式,并介绍了服务端通过MD5加盐进行密码保护的方法。
没有做PC端,仅仅移动端,求鞭笞(我是小应用,社区类型的。)
总体思路:客户体验>服务器压力>客户端复杂度
移动客户端:保存用户密码,以便于下次token过期时使用。
保存加密方式:iOS:keychain
android:目前AES
(android理论上在手机被root+我的软件被完全破解后,密码也能被搞出来,keychain就难度很大很大了,userDefaulter其实也只有手机被越狱获取权限后才有危险)
服务端:
md5(密码+盐)+密码错误尝试次数限制,因为本身身份验证请求,不会频繁发生(除了高级别操作,如改密码等),都是token代劳。
(理论上,应该在数据库和服务端关键代码被盗取后,知道了盐,然后md5字典碰撞测试,有一定几率破解)
好吧,因为我非专业,一个人摸索的,求在公司工作的大大么指点
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
